Datenschutz im Verein: die zwölf wichtigsten Fragen / 7.5 Datenpannen

Wenn es zu einer Datenpanne kommt, greifen weitreichende Melde- und Informationspflichten gegenüber Behörden und Betroffenen. Weil dabei eine Frist von 72 Stunden gilt, sollten für den Fall der Fälle Vorbereitungen getroffen werden – dies ist auch Teil einer Datenschutz-Organisation.

Der Begriff der Datenpanne ist weit gefasst und erfasst jede Verletzung des Schutzes von personenbezogenen Daten. Darunter fallen Hackerangriffe auf die Mitgliederdatenbank ebenso wie versehentlicher Falschversand per E-Mail oder Fax – also insbesondere alle unbefugten Offenlegungen von personenbezogenen Daten.

Wenn durch solch einen Vorfall voraussichtlich ein Risiko für den Betroffenen entsteht (und das ist fast immer der Fall, außer, die Daten waren verschlüsselt), muss Folgendes beachtet werden:

Der Vorfall muss innerhalb von 72 Stunden nach Bekanntwerden an die Datenschutz-Aufsichtsbehörde gemeldet werden (verspätete Meldungen müssen eine Begründung für die Verzögerung enthalten, Art. 33 DSGVO). Die Meldung muss mindestens folgende Informationen enthalten:

• Beschreibung des Vorfalls, soweit möglich mit Angabe der Betroffenen (Kategorien und ungefähre Anzahl) und der betroffenen Daten (Kategorien und ungefähre Anzahl der Datensätze)
• Name und Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen
• Beschreibung der wahrscheinlichen Folgen des Vorfalls
• Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung und gegebenenfalls Maßnahmen zur Abmilderung der möglichen nachteiligen Auswirkungen.

In einigen Fällen müssen auch die betroffenen Personen über die Datenpanne benachrichtigt werden, nämlich wenn sie voraussichtlich einem "hohen Risiko" ausgesetzt sind (Art. 34 DSGVO). In diesem Fall sind die Betroffenen so schnell wie möglich zu informieren (was auch länger dauern darf als 72 Stunden), und zwar in "klarer und einfacher Sprache". Das Gesetz nennt einige Ausnahmen, in denen von der Benachrichtigung abgesehen werden kann. Dazu zählt unter anderem ein besonderes Geheimhaltungsinteresse des Vereins, das jedoch zu begründen wäre (§ 29 Abs. 1 Satz 3 BDSG n. F.).